viernes, 24 de enero de 2014

El primer malware de Windows que compromete tu Android

Publicado en enero 24, 2014
Si sincronizas tu Android con tu computador que corre Windows te tenemos malas noticias pues desde Symantec llega la noticia acerca del descubrimiento del primer malware de windows que intenta infectar tu dispositivo Android con malware, asociado a la banca en línea, comprometiendo entre otras cosas las transacciones que realices mediante tu dispositivo.

Ya teníamos noticias anteriores acerca de programas maliciosos en Android tratando de infectar tu computador con Windows usando vectores como un autorun.inf en la tarjeta de memoria y con la ejecución automática habilitada para descargar archivos maliciosos ejecutables, pero ahora llega un malware que trabaja en sentido inverso.

Al parecer la infección comienza cuando un troyano "Trojan.Driodpak" deja un archivo DLL malicioso, el cual al ser escaneado también da positivo a este troyano, que es registrado como servicio del sistema. El DLL descarga entonces un archivo de configuración de un servidor remoto:
  • http://xia2.dy[REMOVED]s-web.com/

Después analiza el archivo de configuración para poder descargar un .apk malicioso a una ubicación específica del ordenador infectado:
  • %Windir%\CrainingApkConfig\AV-cdk.apk

Además el DLL analiza puede descargar herramientas como el ADB (Android Debug System), que es una herramienta de comandos legítima que está incluída en el ADK (Android Development Kit). Tras instalar el ADB, usa un comando para instalar el .apk malicioso a cualquier dispositivo android que se encuentre conectado al computador comprometido.


Por supuesto que para instalarse en un dispositivo es necesario que la "Depuración por USB" (USB debugging Mode) esté habilitada en el dispositivo. Aún así el malware intenta repetidamente la instalación para una mayor seguridad de que el .apk malicioso fue instalado. 

Este .APK es una variante del Android.Fake.Bank.B y se muestra como una aplicación con el ícono de Google Play, pero con el nombre de "Google App Store".


Una vez instalado lo que hace la aplicación es buscar por aplicaciones de Banca en línea de ciertos bancos coreanos, y si los encuentra, trata de hacer que el usuario las borre y en su lugar instale versiones maliciosas. Además de tratar de intercambiar aplicaciones, también intercepta mensajes SMS en el dispositivo infectado y los envía a la siguiente dirección:
  • http://www.slmoney.co.kr[REMOVED]

A pesar de que esto afecta por ahora sólo a personas con aplicaciones para bancos coreanos, que podría extenderse hasta bancos de otros lugares del mundo, no podemos evitar pensar en esto como una prueba de concepto hacía formas más sofisticadas de infección además de mayores riesgos. Tras analizar el proceso de como trabaja este malware podemos ver que incluso tiene una parte de ingeniería social que podría hacer que no se instale la aplicación, desactivando la depuración por USB, o teniendo precaución en las fuentes de las aplicaciones que usamos. Por lo que siempre es bueno tener cuidado y podemos evitar ser víctimas de esto siguiendo algunas recomendaciones de Symantec:
  • Desactivar la "Depuración por USB" del dispositivo si no la está usando
  • Tener precaución al conectar los dispositivos en computadores que no confía
  • Instalar software anti-malware y similares
Fuente: Symantec Blogs
Etiquetas: , , , , , , , , , , , , , , , , , , ,

No hay comentarios.:

Publicar un comentario

Suscribirse a: Comentarios de la entrada (Atom)